Nasce una nuova minaccia: il cyber killer!

Una bella notizia: esiste un apparato elettromedicale miniaturizzato per salvare la vita di quelle persone con disfunzioni o problematiche cardiache. Il defibrillatore Cardioverter è un piccolo dispositivo impiantato chirurgicamente nel torace del paziente che dà la possibilità di fornire al cuore uno shock elettrico (spesso chiamato contro-shock) per ristabilire un battito cardiaco normale. Tutto sofisticato e avanzato. Tutto tranne la sicurezza ovviamente! Diversi defibrillatori cardiaci, infatti, già impiantati su pazienti e realizzati da una delle più grandi aziende di dispositivi elettromedicali del mondo, sono stati trovati vulnerabili a due gravi vulnerabilità, che potrebbero consentire a malintenzionati di intercettare e potenzialmente influire sulla funzionalità di questi dispositivi salvavita.

Le vulnerabilità riscontrate afferiscono al protocollo wireless di comunicazione fra i defibrillatori impiantati e l’unità esterna di controllo: il difetto più critico risiede nel fatto che tale protocollo non prevede alcun controllo di integrità dei dati (a seguito ad esempio di manomissione) e nemmeno alcuna forma di autenticazione o autorizzazione. Stento davvero a crederci!

Lo sfruttamento di questa vulnerabilità potrebbe consentire ad un aggressore all’interno del range di frequenza del dispositivo, di intercettare, impersonificare o modificare i dati trasmessi, consentendogli potenzialmente di uccidere il paziente.

Questo è il livello di sicurezza che ci ritroviamo spesso a riscontrare nei dispositivi IoT in qualsiasi ambito: smart city, building automation, industrial plant e persino nei dispositivi medici.. Alla faccia della security by design!